Penjelasan teknis
WebPros cPanel & WHM dan WP2 (WordPress Squared) mengandung kerentanan bypass autentikasi kritis (CWE-306: Missing Authentication for Critical Function) yang memungkinkan penyerang jarak jauh tanpa autentikasi untuk melewati layar login dan mendapatkan akses administratif penuh ke panel kontrol hosting web tanpa kredensial.
Vektor serangan
Penyerang jarak jauh tanpa autentikasi mengeksploitasi cacat logika dalam alur autentikasi untuk mengakses panel kontrol dengan hak istimewa penuh. CISA mengkonfirmasi eksploitasi aktif di liar. Kerentanan ini memengaruhi semua versi cPanel/WHM yang didukung sebelum pembaruan keamanan 28 April 2026, dengan upaya eksploitasi yang dikonfirmasi kembali ke 23 Februari 2026 yang diamati oleh setidaknya satu penyedia hosting.
Sistem yang terdampak
Semua instalasi cPanel & WHM dan sistem WP2 (WordPress Squared) yang menjalankan versi yang dirilis sebelum 28 April 2026. Puluhan juta situs web mengandalkan cPanel untuk manajemen server web, menjadikannya salah satu platform hosting web yang paling banyak digunakan secara global.
Mitigasi
Terapkan pembaruan keamanan yang dirilis 28 April 2026 segera. cPanel telah menerbitkan versi yang dipatch untuk semua rilis yang didukung. Penyedia hosting web termasuk Namecheap, HostGator, dan KnownHost sementara memblokir akses panel pelanggan untuk menerapkan patch. Tanggal jatuh tempo federal untuk remediasi: 3 Mei 2026 per CISA BOD 22-01. Organisasi yang menggunakan cPanel harus memverifikasi status patch dengan penyedia hosting mereka dan mengaudit log akses untuk sesi administratif yang tidak sah sejak Februari 2026.